w32/lovgate.ac

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/lovgate.ac

w32.lovgate.ac@mm , w32/lovgate.ai@mm
tipo: gusano
tama?o: 131,072 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 13/07/2004 descripción:
w32/lovgate.ac@mm , es un gusano de envi? masivos de e-mail, utiliza su propio motor smtp para enviarse a todas las direcciones de e-mail que encuentre en el computador atacado.
tambi?n se difunde a trav?s de recursos compartidos en la red, y responde a todos los mensajes de e-mail que encuentre en la bandeja de entrada de microsoft outlook del computador atacado.
el gusano se aprovecha de la vulnerabilidad dcom rpc , descrito en el bolet?n de seguridad ms03-026 de microsoft.
caracter?sticas del mensaje de e-mail:
asunto: [puede ser cualquiera de la siguiente lista]
test hi hello mail delivery system mail transaction failed server report status error cuerpo: [puede ser cualquiera de la siguiente lista]
pass mail failed. for further assistance, please contact! the message contains unicode characters and has been sent as a binary attachment. its the long-awaited film version of the broadway hit. the message sent as a binary attachment. archivo adjunto: [cualquiera de los siguientes con extensiones .rar, .com, .scr, .exe y .pif ]
document readme doc text file data test message body -----------------------------------------
tambi?n el gusano responder? a todos los emails que encuentre en la bandeja de entrada de microsoft outlook con el siguiente texto:
asunto: re: [asunto original]
cuerpo:
[nombre del usuario infectado] wrote:
= = = =
>[cuerpo del mensaje original]
= = = =
[dominio del remitente] account auto-reply:
if you can keep your head when all about youare losing theirs and blaming it on you;if you can trust yourself when all men doubt you,but make allowance for their doubting too;if you can wait and not be tired by waiting,or, being lied about,dont deal in lies,or, being hated, dont give way to hating,and yet dont look too good, nor talk too wise;... ... more look to the attachment.> get your free [dominio del remitente] account now! <
archivo adjunto: [cualquiera de la siguiente lista]
the hardcore game-.pif sex in office.rm.scr deutsch bloodpatch!.exe s3msong.mp3.pif me_nude.avi.pif how to crack all gamez.exe macromedia flash.scr setup.exe shakira.zip.exe dreamweaver mx (crack).exe starwars2 - cloneattack.rm.scr industry giant ii.exe dsl modem uncapper.rar.exe joke.pif britney spears nude.exe.txt.exe i am for u.doc.exe --------------------------------------
cuando el gusano se ejecuta se copia así mismo en:
windows \cdplay.exe system \iexplore.exe system \ravmond.exe system \winhelp.exe system \update_ob.exe system \tkbellexe.exe system \hxdef.exe system \kernel66.dll nota:
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
tambi?n crea un archivo llamado cdrom.com en todas las unidades ra?z del computador atacado a excepci?n de la unidad de cd-rom, adem?s tambi?n crea un archivo autorun.inf en cada unidad del computador atacado, el archivo contiene las siguientes instrucciones:
[autorun]
open=c:\cdrom.com /startexplorer
además modifica algunas entradas en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
winhelp = system \tkbellexe.exe...
hkey_local_machine\software\microsoft\windows\currentversion\run
hardware profile = system \hxdef.exe...
hkey_local_machine\software\microsoft\windows\currentversion\run
program in windows = system \iexplore.exe
tambi?n adiciona la siguiente entrada en el registro para ejecutarse como un servicio en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\runservices
systemtra= windows \cdplay.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
com++ system= exploier.exe...
seguidamente en sistemas con windows xp/2000/nt adiciona una entrada en el registro para ejecutar al gusano en cada reinicio del sistema:
hkey_current_user\software\microsoft\windowsnt\currentversion\windows
run=ravmond.exe
tambi?n modifica los siguientes valores para que cada vez que se ejecute un archivo de texto se ejecute el gusano:
hkey_classes_root\txtfile\shell\open\command
[predeterminado]=update_ob.exe 1...
seguidamente se copia a si mismo en todas las carpetas y subcarpetas compartidas de la red como los siguientes archivos:
winrar.exe internet explorer.bat documents and settings.txt.exe microsoft office.exe windows media player.zip.exe support tools.exe windowsupdate.pif cain.pif msdn.zip.pif autoexec.bat findpass.exe client.exe i386.exe winhlp32.exe xcopy.exe mmc.exe busca computadores en la red local e intentar? autentificarse como administrator utilizando los siguientes passwords:
!@#$ !@#$ !@#$ ^ !@#$ ^& !@#$ ^&* 000000 00000000 007 110 111 111111 11111111 121212 123 9 123abc 123asd 2003 2004 2600 321 54321 654321 666666 888888 88888888 aaa abc abc abcd abcdef abcdefg admin admin admin administrator administrator alpha asdf asdfgh computer database enable god godblessyou guest guest home internet login login love mypass mypass mypc mypc oracle owner pass passwd password password pw pwd root secret server sex sql super sybase temp temp test test win xxx yxcv zxcv si logra establecer la autentificaci?n tratará de copiarse como:
\\[nombre del computador remoto]\admin$\system32\netmanager.exe
seguidamente intentará iniciarlo como el servicio windows management network service extensions , que es mapeada para netmanager.exe -exe_start
finalizar? todos los procesos que contienen en su nombre alguno de las siguientes cadenas de texto:
rising skynet symantec mcafee gate rfw.exe ravmon.exe kill nav duba kav
finalmente el gusano tambi?n realiza las siguientes acciones:
ejecuta su componente troyano en el puerto 6000, de esta manera roba informaci?n del computador infectado y lo guarda dentro del archivo netlog.txt que se encuentra en la unidad c:, para luego enviarla por email.
crea una carpeta compartida de nombre media en la computadora atacada la cual es mapeada como windows \media
infecta archivos .exe, adicionando una copia del archivo infectado el cual se encuentra en system \win~.uuu


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo